我希望将另外 2 个 Windows Server 2003 域控制器部署到单独的机密 DMZ 中,与常规网络中安装的 6 个 DC 一起部署,总共 8 个 DC。2 个机密 DC 将通过防火墙使用 IPSec 与常规网络 DC 进行通信。
但是,我想知道如何阻止常规网络工作站和服务器尝试与机密 DC 进行身份验证?是否有办法使用 AD 站点和服务来阻止常规网络工作站和服务器尝试与这些机密 DC 进行通信?
我想说的是,是否存在问题,或者当常规网络工作站或服务器尝试使用机密 DC 和时间进行身份验证时,这是否会导致问题,或者是否会超时并尝试另一个 DC 并继续?
答案1
您无法完全阻止客户端计算机“永远”尝试与它们通信,但通过将它们放入单独的 AD 站点(假设它们与“生产”DC 位于不同的子网中),只要至少一个“生产”DC 始终处于运行状态,您就可以阻止客户端计算机尝试访问它们。如果所有“生产”DC 都不可用,客户端将尝试联系另一个站点中的 DC——可能是“机密”站点。
先发制人,以防有人在另一个答案中提出这一点:试图用“机密”DC 创建的 DNS 条目玩游戏可能是一个坏主意。我毫不怀疑有一种方法可以操纵 DC 注册的 DNS 条目来停止身份验证但仍允许复制,但我无法想象微软会“支持”这种胡闹。
答案2
更好的答案是(如果可能的话)使用 ADAM(现在称为 AD LDS),而不是将真正的 DC 放置在 DMZ 中。如果不行的话,我肯定会设置域隔离
答案3
我们正在为 Web 服务在我们的 DMZ 中部署 Windows Server 2008 只读域控制器。以前我们使用带有本地帐户的 2003 服务器,但这简直是一场管理噩梦。我们正在关注本指南在 DMZ 中使用新的林并创建单向信任,以便我们的内部用户可以使用他们现有的帐户进行身份验证。